دیر یا زود، اما مدیران یک شبکه دامنه مبتنی بر محصولات مایکروسافت باید با دو خطای مشابه مقابله کنند: "در ایجاد یک رابطه اعتماد بین این شکست خورده است ایستگاه کاریو دامنه اصلیو "پایگاه داده مدیریت حساب روی سرور حاوی ورودی برای ثبت رایانه از طریق رابطه اعتماد با این ایستگاه کاری نیست". علاوه بر این پیام ها، عدم امکان ورود به رایانه تحت حساب های دامنه نیز وجود دارد.

ما علل خطاها و روش های درمان آنها را تجزیه و تحلیل خواهیم کرد.

در دامنه شبکه های ویندوزبه همه رایانه‌ها و حساب‌های کاربری، شناسه‌های امنیتی (SID) اختصاص داده می‌شود. در اصل، می توان گفت که هر کامپیوتر در دامنه، حساب کامپیوتری خود را نیز دارد. در قیاس با یک حساب کاربری، چنین حساب کاربری یک رمز عبور نیز خواهد داشت. رمز داده شدهایجاد شده و توسط کامپیوتر به صورت خودکار به کنترل کننده دامنه ارائه می شود. بنابراین، بین ایستگاه های کاری و کنترل کننده دامنه، آن روابط اعتماد شکل می گیرد که در متن خطاها ذکر شده است.

هر 30 روز یا وقتی برای اولین بار پس از مدت طولانی عدم فعالیت آن را روشن می کنید، رایانه به طور خودکار رمز عبور خود را تغییر می دهد. از نظر تئوری، همه چیز زیبا است و به نظر می رسد دستگاه نمی تواند اشتباه کند و رمز عبور اشتباه را وارد کند. با این حال، گاهی اوقات به دلایل مختلفی این اتفاق می افتد.


برقراری رابطه اعتماد بین این ایستگاه کاری و دامنه اصلی انجام نشد

شایع ترین علت بازگشت سیستم عامل ویندوز به حالت قبلی است. به طور طبیعی، هر چه نقطه بازیابی زودتر ایجاد شود، احتمال خطا بیشتر می شود. در این حالت، پس از بازیابی، رایانه شروع به نشان دادن رمز عبور قدیمی به کنترل کننده دامنه می کند و کنترل کننده قبلاً یک رمز عبور جدید دارد.

همچنین اگر دو ایستگاه با نام های یکسان در دامنه وجود داشته باشد، ممکن است خطا رخ دهد. این وضعیت ممکن است به وجود بیاید، به عنوان مثال، اگر نام یک رایانه از کار افتاده را به رایانه جدیدی بدهید و سپس دوباره آن را روشن کنید. کامپیوتر قدیمییادم رفت نام آن را تغییر دهم

از جانب دلایل ممکنآن را فهمید. حالا در مورد حل مشکل. راه‌های مختلفی وجود دارد، اما همه آنها به هر نحوی شامل نصب مجدد حساب رایانه یا تنظیم مجدد رمز عبور آن است.

راه اولاین است که اکانت را مجدداً در .

پس از آن، باید به رایانه زیر بروید مدیر محلیو ایستگاه کاری را از دامنه به حذف کنید گروه کاری(کامپیوتر → خواص → گزینه های اضافیسیستم → نام کامپیوتر → تغییر).

راه دومبازنشانی رمز عبور از طریق است. با این حال، بیایید رزرو کنیم که به PowerShell نسخه 3.0 و بالاتر نیاز داریم. همچنین به عنوان یک مدیر محلی به رایانه می رویم و cmdlet زیر را وارد می کنیم:

بازنشانی -ComputerMachinePassword -Server DomainController -Credential Domain\Admin

در این حالت، -Server نام کنترل کننده دامنه است و -Credential حساب مدیر دامنه است.

cmdlet در صورت تکمیل موفقیت آمیز هیچ پیامی را نمایش نمی دهد. این روشاز این نظر جذاب است که نیازی به راه اندازی مجدد نیست - فقط کاربر را تغییر دهید و با یک حساب دامنه وارد دستگاه شوید.

راه سومبازنشانی رمز عبور کامپیوتر برای استفاده از این ابزار است شبکه، که از آن زمان در سیستم عامل سرور مایکروسافت ظاهر شد ویندوز سرور 2008. در سیستم عامل های مشتری، می توان آن را با استفاده از بسته RSAT (ابزارها) اضافه کرد مدیریت از راه دورسرور).

مانند روش های قبلی، این روش نیز از طریق مدیر محلی انجام می شود. تایپ خط فرمان:

Netdom resetpwd /Server:DomainController /UserD:Admin /PasswordD:Password /SecurePasswordPrompt

این اصل مشابه چیزی است که در مثال PowerShell دیدیم. /Server کنترل کننده دامنه است، /UserD حساب مدیر دامنه است، /PasswordD رمز عبور حساب مدیر دامنه است. همچنین می توانید از گزینه /SecurePasswordPrompt برای مخفی کردن رمز عبور در پشت ستاره ها استفاده کنید. راه اندازی مجدد نیز لازم نیست.

روش چهارو آخرین مورد در مقاله ما استفاده از ابزار است Nltest، که به طور پیش فرض در هر ایستگاه کاری موجود است.

بیایید ابزار را در خط فرمان اجرا کنیم و ابتدا اتصال امن به دامنه را بررسی کنیم:

Nltest /پرس و جو

سپس بیایید ریست کنیم حسابکامپیوتر در دامنه:

Nltest /sc_reset:Domain

و در نهایت رمز عبور کامپیوتر را بازنشانی کنید:

nltest /sc_change_pwd:Domain

متأسفانه چنین است ابزار عالیمعایب خود را دارد اول از همه، ابزار برای ورود / رمز عبور از مدیر دامنه درخواست نمی کند و بر این اساس، تحت کاربری که آن را راه اندازی کرده است اجرا می شود، که می تواند منجر به خطای دسترسی شود.

خطای دیگری در رابطه با روابط اعتماد در یک دامنه وجود دارد که در ابتدای این مقاله قرار داده شد. به نظر می رسد این است:

در این مورد، ابزار دوباره به ما کمک خواهد کرد Nltest. بررسی مجدد اتصال امن به دامنه:

Nltest /پرس و جو

اگر پیغام خطا ظاهر شد، برای رفع خطا کافی است این پچ را نصب کنید. اگر وضعیت اتصال است NERR_موفقیت، سپس موارد زیر را انجام دهید:

netdom reset /d:Domain ComputerName بازنشانی netdom /d:نام رایانه دامنه /سرور:DomainController /uo:Admin /po:Password

در حالت دوم، ما به صراحت دامنه کنترل کننده ای را که می خواهیم با آن رابطه اعتماد برقرار کنیم، مشخص می کنیم.

این ابزار با پیامی مبنی بر اینکه کانال امن بازنشانی شده و اتصال جدیدی برقرار شده است، ما را خوشحال می کند.

بنابراین، در اینجا چند راه برای بازگرداندن اعتماد به یک دامنه وجود دارد. امیدوارم که مجبور باشید تا حد امکان کمتر از آنها استفاده کنید. 🙂

این موضوع به دلیل این واقعیت به وجود آمد که کاربر edgi سوالی در مورد ایجاد رابطه گذرا بین دو جنگل پرسید و لینک دیگری از انجمن ارائه داد http://sysadmins.ru/topic178164.htmlجایی که کاربران در مورد این واقعیت بحث می کنند که برقراری رابطه اعتماد بین دو جنگل غیرممکن است، زیرا ظاهراً جنگل سومی برای اطمینان از گذر لازم است و غیره ....

می‌خواهم فوراً بگویم که برای آگاهی از روابط اعتماد گذرا، ما لزوماً به شخص ثالثی نیاز نداریم تا روابط متعدی اعتماد را ارائه دهد.

اما بیایید به روند ایجاد روابط اعتماد بین جنگل ها نگاه کنیم.

توجه داشته باشید: فراموش نکنید که اولین دامنه ایجاد شده و است دامنه ریشهو چوبو جنگل. یعنی اولین دامنه ایجاد شده در شبکه ما به صورت پیش فرض باید هم به عنوان دامنه ریشه در نظر گرفته شود و هم جنگل و هم درخت (سه در یک لیوان ... بطری متاسفم)

برای سادگی، ما این دامنه‌های ریشه را در یک شبکه قرار می‌دهیم، زیرا اگر در شبکه‌های مختلف قرار داشته باشند، باید (و در صورت لزوم این کار را انجام دهیم) تا این دامنه‌ها (یا بهتر است بگوییم DNS این دامنه‌ها و از این رو، به طور طبیعی، کنترل کننده های دامنه ) به نوعی یکدیگر را می دیدند. اگر سرورهای DNS در شبکه‌های مختلف قرار دارند، باید مراقب باشید که چگونه این شبکه‌ها یکدیگر را ببینند (نحوه انجام این کار یک مکالمه جداگانه است و فعلاً آن را در اینجا در نظر نمی‌گیریم).

چرا اینقدر مهم است که سرویس های DNS این دامنه ها یکدیگر را ببینند؟ اما از آنجا که در قلب ویندوز سرور، یافتن (شناخت) کنترل کننده های دامنه با استفاده از سرویس DNS اتفاق می افتد. یعنی اگر سرویس DNS در هر دامنه ای به اشتباه پیکربندی شده باشد، یافتن این کنترل کننده دامنه یا کنترل کننده های دامنه (در صورت وجود تعداد زیادی) غیرممکن خواهد بود. یعنی اگر به سادگی بگویید - کنترل کننده های دامنه با استفاده از سرویس DNS یکدیگر را می بینند . فکر می‌کنم بعداً روند یافتن کنترل‌کننده‌های دامنه را در مقاله‌ای جداگانه شرح خواهم داد، اما فعلاً فقط به یاد داشته باشید که کنترل‌کننده‌های دامنه بدون یک سرویس DNS به درستی پیکربندی شده، "کور" هستند (چیزی را در شبکه نمی‌بینند).

همانطور که قبلا ذکر شد، روابط اعتماد به عنوان یک حلقه اتصال بین جنگل ها، درختان، دامنه ها عمل می کند. Snap-in برای مدیریت روابط اعتماد استفاده می شود. اکتیو دایرکتوری- دامنه ها و اعتماد، شکل 1 را ببینید.



تصویر 1.

اما قبل از ایجاد یک رابطه قابل اعتماد، بیایید آنچه را که داریم توصیف کنیم. بنابراین ما دو دامنه ریشه و بر این اساس جنگل و درخت داریم، یعنی rk.com و xu.com، فرض کنیم متعلق به یک شرکت هستند و در یک شبکه قرار دارند. آدرس IP اولین کنترل کننده دامنه با سرویس DNS یکپارچه نصب شده با اکتیو دایرکتوری (کسی که آن را به خاطر نمی آورد، اینجا را ببینید) 192.168.0.1 (rk.com) و دومین دامنه ریشه جنگلی 192.168.0.5 خواهد بود ( xu.com). یعنی سرویس DNS روی هر دو کنترلر دامنه اول و دوم نصب می شود. (نحوه نصب و پیکربندی DNS را می توانید در مقالات دیگر در سایت مشاهده کنید)

اولین چیزی که قبل از شروع ایجاد روابط اعتماد باید مطمئن شویم این است که دامنه های ریشه در هر دو جنگل می توانند یکدیگر را از طریق DNS ببینند. برای انجام این کار، از ابزار معروف nslookup از دامنه ریشه جنگل rk.com استفاده می کنیم و می بینیم که چه چیزی به ما می دهد. شکل 2 را ببینید.



شکل 2.

در شکل 2 (لعنتی... احتمالاً باید نه یک عکس، بلکه یک شکل بنویسید، اما سخاوتمندانه مرا ببخشید...) می بینید که دستور nslookup را در خط فرمان با xu.com (جنگل همسایه) تایپ کردیم. ) پارامتر را به ما داد که در اصل نشان می دهد که سرویس DNS در حال اجرا است و سرویس های DNS یکدیگر را می بینند. همین کار را می توان از دامنه ریشه xu.com انجام داد، به شکل 3 مراجعه کنید.



شکل 3

برای تنظیم فورواردینگ، وارد DNS snap-in کنترلر دامنه می شویم که در رایانه تحت نام server1 قرار دارد، روی آن تبدیل می شویم کلیک راستموش ها باز می شوند منوی زمینه، خواص را در منوی زمینه انتخاب کنید و روی آن کلیک کنید. پنجره نشان داده شده در شکل 4 باز شده و تب "Forwarding" را انتخاب کنید.



شکل 4

در این تب بر روی دکمه "ایجاد" کلیک کنید و نام دامنه را در جایی که می خواهیم فوروارد کنیم بنویسید. در مورد ما، این دامنه ریشه جنگل xu.com است. همانجا در برگه، درست در زیر فیلد «فهرست ارسال‌کنندگان IP برای دامنه انتخاب‌شده» - آدرس IP آن را اضافه کنید. در مثال ما، این 192.168.0.5 است.

همین کار را می توان روی سرور کنترل کننده دامنه xu.com انجام داد ... روند کاملاً یکسان است، فقط باید دامنه متفاوت و آدرس دیگری بنویسید. در مورد ما، این دامنه rk.com است و IP آن 192.168.0.1 است.

بنابراین، پس از اینکه سرورهای DNS را کشف کردیم و مطمئن شدیم که آنها یکدیگر را می بینند، به سمت ایجاد روابط اعتماد می رویم و به Snap-in "Domains and trust" نشان داده شده در شکل 1 می رویم.

علاوه بر این، اگر بخواهیم این دو جنگل (rk.com و xu.com) از طریق روابط اعتماد گذرا به یکدیگر متصل شوند، باید حالت عملکرد جنگل را در سطح "Windows Server 2003" (برای جنگل و دامنه) تنظیم کنیم. حالت های عملکرد را اینجا ببینید). بنابراین، در Snap-in "Domains and Trusts" در بالای "Active Directory - Domains and Trusts" می ایستیم و منوی زمینه را با دکمه سمت راست باز می کنیم، شکل 5 را ببینید.



شکل 5

در منوی زمینه، " تغییر حالت عملیات جنگل..."و روی آن کلیک کنید. پنجره ای با حالت های عملیات جنگلی باز می شود. حالت عملیات "Windows Server 2003" را انتخاب کنید. انتقال از این حالت عملکرد به حالت های پایین تر عملیات جنگل غیرممکن است، به شکل 6 مراجعه کنید. یعنی هنگام انتخاب یک حالت عملیات جنگل، با دقت فکر کنید، زیرا انتقال به حالت دیگری از عملیات جنگل به سادگی غیرممکن است.



شکل 6

بعد از اینکه حالت عملکرد جنگل را به حداکثر ممکن افزایش دادیم یعنی به"Windows Server 2003"، برای اهداف آموزشی، حالت عملیات دامنه را نیز به سطح افزایش خواهیم داد.ویندوز سرور 2003. برای انجام این کار، ما تبدیل به دامنه ریشه می شویم و منوی زمینه را باز می کنیم، شکل 7 را ببینید.



شکل 7

همان عملیات، یعنی سطح forest و domain را در کنترلر دامنه اصلی xu.com بالا می بریم.

وقتی مطمئن شدیم که جنگل‌ها (rk.com و xu.com) و دامنه‌های ما در حالت عملکردی کار می‌کنند"Windows Server 2003"، بیایید شروع به ایجاد Trust Forest کنیم.

توجه! اگر حداقل یکی از جنگل های دامنه در سطح عملکردی باشد"Windows 2000"، سپس جنگل های دامنه را فقط می توان توسط تراست های خارجی ملحق کرد.

در Snap-in "Domains and Trusts" نام دامنه ریشه می شود، در مورد ما rk.com است و منوی زمینه را با دکمه سمت راست ماوس باز می کنیم. پنجره نشان داده شده در شکل 8 باز می شود.به تب "Trust" بروید.


شکل 8

در این تب، روی دکمه «ایجاد اعتماد» کلیک کنید. پس از کلیک بر روی این کلید، "جادوگر برای ایجاد روابط اعتماد" باز می شود، به شکل 9 مراجعه کنید.



شکل 9



شکل 10.

در قسمت "Name" نام دامنه ای را می نویسیم که می خواهیم با آن رابطه اعتماد ایجاد کنیم، در مثال ما این دامنه ریشه جنگل xu.com است .... صفحه کلید را فشار می دهیم نه - Next ....

پنجره ای با پیشنهادهایی برای انتخاب نوع اعتماد باز می شود، به شکل 11 مراجعه کنید.



سلام به خوانندگان عزیز حبرهبر! در اینترنت، هر یک از ما می‌توانیم مقالات انفرادی زیادی در مورد عدم موفقیت احراز هویت رایانه از طریق یک کنترل‌کننده دامنه پیدا کنیم، به عبارت دقیق‌تر، رایانه متصل به دامنه با آن قطع می‌شود.

بنابراین، بیایید شروع به مطالعه این مشکل کنیم.

بسیاری از مهندسان فناوری اطلاعات که در شرکت‌های بزرگ و کوچک کار می‌کنند، کامپیوترهایی با آن دارند سیستم عاملویندوز 7، 8.1 و غیره و همه این کامپیوترها به یک شبکه دامنه (DC) متصل هستند.

این مشکل به این دلیل رخ می‌دهد که پروتکل شبکه Kerberos نمی‌تواند با رایانه‌ای همگام‌سازی و احراز هویت شود (رابطه اعتماد بین این ایستگاه کاری و دامنه اولیه ناموفق بود) که به یک دامنه متصل شده است. سپس می توانیم چنین خطایی را ببینیم (عکس زیر را ببینید).

پس از آن به دنبال آن هستیم برنامه شخص ثالث، دانلود کنید، ایجاد کنید درایو فلش قابل بوتو ادمین محلی، سپس از طریق آن وارد شده و از دامنه خارج می شویم، کامپیوتر را به Workgroup اضافه می کنیم و سپس این کامپیوتر را دوباره به دامنه متصل می کنیم.

با استفاده از برنامه نویسی دسته ای ویندوز می خواهم یک فایل bat ایجاد کنم و فرآیند ایجاد و افزودن یک مدیر محلی را به طور خودکار انجام دهم. تنها چیزی که به آن نیاز خواهیم داشت پس از ایجاد است فایل داده شدهآن را اجرا کنید.

ما خود را باز می کنیم ویرایشگر متن، دستور زیر را وارد کنید.

مدیر کاربر خالص Ww123456 /add /active:yes WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE net localgroup سرپرست مدیران /add net localgroup کاربران مدیر /حذف netsh advfirewall تنظیم تمام نمایه ها حالت خاموش
بیایید تمام دستورات را نقطه به نقطه مرور کنیم تا نقاط نامشخص را حذف کنیم.

Net user admin (به جای کلمه admin می تونید هر اسمی که مناسب شماست اضافه کنید، پیش فرض administrator است، در مورد من admin است).
بعد، رمز عبوری را می بینیم که در آنجا قرار داده ام Ww123456 (هر رمزی که به یاد دارید می توانید قرار دهید).

پس از دیدن /add /active:yes - add و activate: YES

WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE - این دستور به این معنی است که مدیری که اضافه می شود رمز عبور دائمیبدون تاریخ انقضا (تصویر زیر را ببینید).

نقاط سوم و چهارم با این واقعیت به هم مرتبط هستند که به طور پیش فرض، هنگامی که یک مدیر محلی ایجاد می شود، مورد Member Of Users است (عکس را ببینید). ما به آن (کاربران) نیاز نداریم، زیرا در حال ایجاد یک مدیر کامل برای سیستم عامل خود هستیم. بنابراین، دستور چهارم - net localgroup Users admin /delete - Users را حذف می کند و دستور قبلی - net localgroup Administrators admin /add - یک مدیر اضافه می کند (عکس را ببینید).

آخرین دستور، netsh advfirewall set allprofiles state off، فایروال ویندوز را غیرفعال می کند.
گاهی اوقات برای نصب هر برنامه یا دادن هر دستوری در ویندوز e باید فایروال را خاموش کنید (بعد از اجرای اسکریپت می توانید دستور - netsh advfirewall set allprofiles state on را وارد کنید و دوباره روشن کنید. من دارم به طور پیش فرض خاموش است، زیرا من از فایروال شخص ثالث استفاده می کنم. این لحظهبه صلاحدید هر فرد).

بعد به دفترچه ما بروید، روی File کلیک کنید، ذخیره به عنوان ... (ذخیره به عنوان ...) نام اسکریپت خود را وارد کنید (در مورد من: localadmin) سپس یک نقطه (.) قرار دهید و فرمت bat را بنویسید. اسکریپت محل ذخیره را انتخاب کنید این ورودیو ذخیره را کلیک کنید. با جزئیات بیشتر در تصویر نشان داده شده است.

به نظر می رسد در اینجا چنین اسکریپت است (عکس را ببینید).

این اسکریپت باید به عنوان یک مدیر در هنگام راه اندازی باز شود:

دکمه سمت راست ماوس را فشار دهید و به عنوان مدیر اجرا کنید (عکس را ببینید).

پس از اجرای اسکریپت، باید چنین پنجره ای را مشاهده کنید (عکس را ببینید).

اگر به دلایلی خطایی رخ دهد، در 90٪ از چنین مواردی این به این دلیل است که تصویر شما که ویندوز را از آن نصب کرده اید بدون مجوز، نوعی بسته بندی مجدد و غیره است. نرم افزارهای دارای مجوز و اثبات شده را دانلود و استفاده کنید.

پس از افزودن موفقیت آمیز یک ادمین محلی، می توانید این اسکریپت را در تمام ایستگاه های کاری دفتر خود که ویندوز نصب شده است اجرا کنید.

اگر این خطا را دریافت کردید: رابطه اعتماد بین این ایستگاه کاری و دامنه اصلی ناموفق بود - فقط باید یک کاربر سوئیچ کنید و بنویسید که ورود به سیستم کجاست.\admin (به یاد داشته باشید! قبل از اسلش یک نقطه در ابتدا قرار داده می شود. !)، در پایین تر، رمز عبوری را که به اسکریپت خود اضافه کرده اید وارد کنید (در مورد من: Ww123456). پس از آن، به سیستم عامل در حال کار می روید.

باقی مانده است که رایانه خود را از دامنه حذف کرده و به Workgroup اضافه کنیم. به جای Workgroup، هر حرفی را وارد کنید (عکس را ببینید).

سپس رمز عبور مدیریت دامنه وارد می شود و کامپیوتر از ما می خواهد که راه اندازی مجدد شود.
پس از راه‌اندازی مجدد، مجدداً به ادمین محلی خود می‌رویم و سپس رایانه را به دامنه خود اضافه می‌کنیم. سیستم یک بار دیگر نیاز به راه اندازی مجدد و Voila دارد! کاربر ما می تواند دوباره بدون هیچ مشکلی به دامنه متصل شود!

P.S. این سیستمبرای بخش سرور ویندوز نیز کار می کند، اما اگر پس از غیرفعال کردن فایروال، چنین اسکریپتی را برای سرورها بنویسید، باید دوباره آن را فعال کنید (قبل از - netsh advfirewall set allprofiles state off، after netsh advfirewall set allprofiles state on).

از توجه شما متشکرم

همه باید هر از گاهی با خطای "مشکوف به ایجاد یک رابطه اعتماد بین این ایستگاه کاری و دامنه اصلی" دست و پنجه نرم کنند. مدیر سیستم. اما همه علل و مکانیسم های فرآیندهای منجر به وقوع آن را درک نمی کنند. زیرا بدون درک معنای رویدادهای جاری، مدیریت معنادار غیرممکن است که با اجرای بدون فکر دستورالعمل ها جایگزین می شود.

حساب‌های رایانه‌ای، مانند حساب‌های کاربری، اعضای امنیت دامنه هستند. به هر اصل امنیتی به طور خودکار یک شناسه امنیتی (SID) در سطحی که به منابع دامنه دسترسی دارد اختصاص داده می شود.

قبل از اینکه به یک حساب کاربری به دامنه دسترسی بدهید، باید صحت آن را تأیید کنید. هر اصل امنیتی باید حساب و رمز عبور خود را داشته باشد و حساب رایانه نیز از این قاعده مستثنی نیست. هنگامی که یک کامپیوتر به Active Directory متصل می شود، یک حساب کامپیوتری از نوع "Computer" برای آن ایجاد می شود و یک رمز عبور تنظیم می شود. اعتماد در این سطح با این واقعیت تضمین می شود که این عملیات توسط یک مدیر دامنه یا کاربر دیگری که دارای اختیار صریح برای انجام این کار است انجام می شود.

پس از آن، هر بار که رایانه وارد دامنه می شود، یک کانال امن با کنترل کننده دامنه ایجاد می کند و اعتبار خود را به آن می گوید. بنابراین، یک رابطه اعتماد بین رایانه و دامنه برقرار می شود و تعامل بیشتر مطابق با سیاست های امنیتی و حقوق دسترسی تنظیم شده توسط سرپرست انجام می شود.

رمز عبور حساب رایانه به مدت 30 روز معتبر است و پس از آن به طور خودکار تغییر می کند. درک این نکته مهم است که تغییر رمز عبور توسط رایانه آغاز می شود. این شبیه به فرآیند تغییر رمز عبور کاربر است. با کشف آن رمز عبور فعلیمنقضی شده است، رایانه دفعه بعد که به دامنه می پیوندد آن را جایگزین می کند. بنابراین، حتی اگر چندین ماه رایانه خود را روشن نکرده باشید، رابطه اعتماد در دامنه باقی خواهد ماند و رمز عبور پس از یک وقفه طولانی در اولین ورود به سیستم تغییر خواهد کرد.

اگر رایانه ای بخواهد در دامنه ای با رمز عبور نامعتبر احراز هویت کند، رابطه اعتماد خراب می شود. چگونه ممکن است این اتفاق بیفتد؟ ساده ترین راه این است که وضعیت رایانه را به عقب برگردانید، به عنوان مثال، با یک ابزار استاندارد بازیابی سیستم. همین اثر را می توان هنگام بازیابی از یک تصویر، عکس فوری (برای ماشین های مجازی) و غیره.

گزینه دیگر تغییر حساب توسط رایانه دیگری با همین نام است. این وضعیت بسیار نادر است، اما گاهی اوقات این اتفاق می افتد، به عنوان مثال، زمانی که رایانه شخصی یک کارمند در حالی که نام خود را حفظ می کند، تغییر می کند، نسخه قدیمی را از دامنه حذف می کند، و سپس دوباره آن را وارد دامنه می کند، فراموش می کند که نام آن را تغییر دهد. در این صورت، رایانه قدیمی، هنگام ورود مجدد به دامنه، رمز عبور حساب رایانه را تغییر می دهد و رایانه جدید دیگر نمی تواند وارد شود، زیرا نمی تواند یک رابطه اعتماد ایجاد کند.

در مواجهه با این خطا چه اقدامی باید انجام داد؟ اول از همه علت نقض امانت را مشخص کنید. اگر بازگشتی بود، پس توسط چه کسی، چه زمانی و چگونه ساخته شد، اگر رمز عبور توسط رایانه دیگری تغییر کرد، پس دوباره باید بفهمیم چه زمانی و در چه شرایطی این اتفاق افتاده است.

یک مثال ساده: یک کامپیوتر قدیمی تغییر نام داد و به بخش دیگری داده شد، پس از آن خراب شد و به طور خودکار به آخرین نسخه بازگشت. ایست بازرسی. پس از آن، این رایانه شخصی سعی می کند در دامنه با نام قدیمی احراز هویت کند و طبیعتاً خطای ایجاد روابط اعتماد دریافت می کند. اقدام صحیح در این مورد این است که نام رایانه را به همان شکلی که باید نامیده شود، ایجاد یک چک پوینت جدید و پاک کردن موارد قدیمی است.

و تنها پس از اطمینان از اینکه نقض اعتماد ناشی از اقدامات ضروری عینی است و برای این رایانه است که می توانید شروع به بازگرداندن اعتماد کنید. این را از راه های گوناگون می توان انجام داد.

کاربران و رایانه های Active Directory

این ساده ترین، اما نه سریع ترین و راحت ترین راه است. Snap-in را روی هر کنترل کننده دامنه باز کنید کاربران و رایانه های Active Directory، حساب کامپیوتر مورد نیاز را پیدا کرده و با کلیک راست، انتخاب کنید اکانت را دوباره نصب کنید.

سپس در رایانه ای که اعتماد خود را از دست داده است وارد می شویم مدیر محلیو دستگاه را از دامنه حذف کنید.

سپس آن را دوباره وارد می کنیم، می توانید بین این دو عمل از راه اندازی مجدد رد شوید. پس از ورود مجدد به دامنه، راه اندازی مجدد و وارد حساب کاربری دامنه می شویم. پس از اتصال مجدد رایانه به دامنه، رمز عبور رایانه تغییر خواهد کرد.

عیب این روش این است که دستگاه باید از دامنه حذف شود و همچنین نیاز به دو (یک) راه اندازی مجدد است.

ابزار Netdom

این ابزار از نسخه 2008 با ویندوز سرور ارائه شده است، می توان آن را بر روی رایانه های شخصی کاربر از بسته RSAT (Remote Server Administration Tools) نصب کرد. برای استفاده از آن، وارد سیستم هدف شوید مدیر محلیو دستور را اجرا کنید:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

بیایید به گزینه های دستور نگاه کنیم:

  • سرور- نام هر کنترل کننده دامنه
  • UserD- نام حساب مدیر دامنه
  • رمز عبور D- رمز عبور مدیر دامنه

پس از اجرای موفقیت آمیز دستور، نیازی به راه اندازی مجدد نیست، فقط از حساب محلی خارج شده و وارد حساب دامنه شوید.

PowerShell 3.0 cmdlet

برخلاف ابزار Netdom، PowerShell 3.0 از ویندوز 8 / سرور 2012 ارائه شده است، برای سیستم های قدیمی تر می توان آن را به صورت دستی نصب کرد، ویندوز 7، سرور 2008 و سرور 2008 R2 پشتیبانی می شوند. به عنوان وابستگی لازم است چارچوب خالصکمتر از 4.0 نیست.

به همین ترتیب، به عنوان یک مدیر محلی به سیستمی که می خواهید اعتماد را بازیابی کنید، وارد شوید، کنسول PowerShell را راه اندازی کنید و دستور را اجرا کنید:

بازنشانی -ComputerMachinePassword -Server DomainController -Credential Domain\Admin

  • سرور- نام هر کنترل کننده دامنه
  • اعتبارنامه- نام دامنه / حساب مدیر دامنه

هنگامی که این دستور اجرا می شود، یک پنجره مجوز ظاهر می شود که در آن باید رمز عبور حساب مدیر دامنه را که مشخص کرده اید وارد کنید.

cmdlet هیچ پیامی را در مورد موفقیت چاپ نمی کند، بنابراین فقط حساب خود را تغییر دهید، نیازی به راه اندازی مجدد نیست.

همانطور که می بینید، بازگرداندن اعتماد به یک دامنه بسیار ساده است، نکته اصلی این است که به درستی علت این مشکل را تعیین کنید، زیرا در موارد مختلف روش های مختلفی مورد نیاز خواهد بود. بنابراین، ما از تکرار خسته نمی شویم: در صورت بروز هر مشکلی، ابتدا باید علت را شناسایی کنید و تنها پس از آن اقدامات لازم را برای اصلاح آن انجام دهید، به جای اینکه بی خیال اولین دستورالعمل موجود در شبکه را تکرار کنید.